BEZPEČNOST NA INTERNETU Mgr. Filip Kábrt, MFF UK BEZPEČNOST NA INTERNETU Bezp Přednášku redigoval a doplnil: Petr Špiřík Data z kvantitativních výzkumů: PhDr. Martin Buchtík, FSV UK

Struktura přednášky Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

MOTIVACE KYBER-ÚTOČNÍKŮ Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

Motivace kyber-útočníků Proč vůbec vznikají ohrožení bezpečnosti? Co z toho útočníci mají? Poškodit konkrétního člověka / firmu „pro 78% firem jsou největší hrozbou firemní bezpečnosti IS/IT vlastní zaměstnanci“ Výzkum Ogilvy Public Relations pro GiTy Většina chyb omylem, ale nezřídka i cílená snaha poškodit Možná motivace snahou získat konkurenční výhodu „Stále více lidí se ocitá v pokušení ukrást svému zaměstnavateli důležitá data. Jedná se o informace, které by mohly být použité při spáchání trestného činu nebo v rámci konkurenčního boje. Zaměstnanci jsou často nejslabším článkem v řetězci a je tedy více než kdy jindy důležité, aby si firma udržela kontrolu nad přístupem k citlivým interním systémům a datům“ Tomáš Kudělka, senior IT manager, KPMG, pro Živě.cz

Motivace kyber-útočníků Proč vůbec vznikají ohrožení bezpečnosti? Co z toho útočníci mají? Finanční zisk Přímý (neautorizovaný převod peněz) Nepřímý Zisk z použití služby, kterou jste si neobjednali (telefonování) Zpeněžení choulostivé informace Vaše osobní údaje, činnost na Internetu, apod. Příklady s telefonováním na Kajmany: "Do 7. března 2003 reagovalo několik desítek poškozených, z nichž již více než 20 poskytlo kompletní informace. Z nich vyplývá, že škoda, která každému z nich vznikla, činí v průměru více než 22.000 Kč. Nejvyšší takto provolaná částka přesáhla 113.000 Kč.

Zdroj: http://torrentfreak Torrentfreak, 2010, http://torrentfreak.com/malware-extort-cash-from-bittorrent-users-100411/

Motivace kyber-útočníků Proč vůbec vznikají ohrožení bezpečnosti? Co z toho útočníci mají? Výpočetní sílu a krytí kriminální činnosti Zombie počítače organizované do botnetu K čemu je výpočetní síla dobrá? DDoS útoky (nutné vést z mnoha různých stran) Rozesílání spamu (krytí rozesílatele, konektivita zdarma) Hackerská činnost Útočník se potřebuje schovat za cizí IP Podle IP lze snadno dohledat lokaci komunikujícího Botnet lze přímo zpeněžit (pronájem, prodej) Velikost Botnetu: Conficker – 16. ledna odhad 8.9 million, zdroj: http://www.f-secure.com/weblog/archives/00001584.html Kaspersky Laboratories, 2009 Hiring a botnet for DDoS attacks costs from $50 to thousands of dollars for a continuous 24-hour attack. Stolen bank account details vary from $1 to $1,500 depending on the level of detail and account balance. Personal data capable of allowing the criminals to open accounts in stolen names costs $5 to $8 for US citizens; two or three times that for EU citizens. A list of one million email addresses costs between $20 and $100; spammers charge $150 to $200 extra for doing the mailshot.

Zdroj: Wikimedia Commons, © Tom-b 2010, použito v souladu s licencí Creative Commons Attribution-Share Alike 3.0 Unported

Příklad: Ceny služeb botnetů Hiring a botnet for DDoS attacks costs from $50 to thousands of dollars for a continuous 24-hour attack. Stolen bank account details vary from $1 to $1,500 depending on the level of detail and account balance. Personal data capable of allowing the criminals to open accounts in stolen names costs $5 to $8 for US citizens; two or three times that for EU citizens. A list of one million email addresses costs between $20 and $100; spammers charge $150 to $200 extra for doing the mailshot. Small botnets of a few hundred bots cost $200 to 700, with an average price amounting to $0.50 per bot. Large botnets cost much more. The Shadow botnet, which was created by a 19-year-old hacker from Holland and included over 100,000 computers, was put on sale for $36,000. Zdroj: The Economics of Botnets, Yuri Namestnikov, Kaspersky Laboratories, 2009 http://www.securelist.com/en/downloads/pdf/ynam_botnets_0907_en.pdf Citováno z: http://www.computerweekly.com/Articles/2009/07/23/237015/kaspersky-reveals-price-list-for-botnet-attacks.htm Velikost Botnetu: Conficker – 16. ledna odhad 8.9 million, zdroj: http://www.f-secure.com/weblog/archives/00001584.html Kaspersky Laboratories, 2009 Hiring a botnet for DDoS attacks costs from $50 to thousands of dollars for a continuous 24-hour attack. Stolen bank account details vary from $1 to $1,500 depending on the level of detail and account balance. Personal data capable of allowing the criminals to open accounts in stolen names costs $5 to $8 for US citizens; two or three times that for EU citizens. A list of one million email addresses costs between $20 and $100; spammers charge $150 to $200 extra for doing the mailshot.

Motivace kyber-útočníků Proč vůbec vznikají ohrožení bezpečnosti? Co z toho útočníci mají? Marketingově vytěžitelné údaje E-mailové a další adresy Přímá distribuce nevyžádané reklamy Adware, spam Osobní profily, zájmy, …

Motivace kyber-útočníků Proč vůbec vznikají ohrožení bezpečnosti? Co z toho útočníci mají? Konkrétní zakázka Získání konkrétní informace nebo provedení jistého úkonu v cizím systému Je to jediný typ motivace, kterou pravděpodobně nerealizuje automatizovaný robot Opět: Cybercrime je dnes především business

HISTORIE POČÍTAČOVÉ KRIMINALITY Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

Historie počítačové kriminality 1971 – John T. Draper, phone phreaking 1980 – první BBS 1982 – Skupina The 414s pronikla do 60-ti počítačových systémů, první použití slova „hacker“ v médiích 1983 – Film Wargames – panika a zároveň zatraktivnění hackingu 1986 – Morris Worm na ARPAnetu, 6000 napadených počítačů na Cornell University

Historie počítačové kriminality 1993 – hack telefonních systémů rádiové stanice umožní Kevinu Poulsenovi vyhrát Porsche 1995 – Ruští hackeři převedou 10 miliónů USD z Citibank 1995 – Kevin Mitnick zatčen za krádež čísel 20000 kreditních karet, soud až 4 roky poté 1999 – Windows 98, záplaty a počítačová bezpečnost je mainstream, Melissa virus

Historie počítačové kriminality 2000 – DoS útok na Yahoo! a Amazon 2000 – e-mailový virus ILOVEYOU se šíří přes adresář 2001 – Síť NAPSTER končí po žalobách nahrávacího průmyslu 2004 – Prohlášení Severní Koreje o úspěších hackerů na cíle v Jižní Koreji a Japonsku 2005 – Jeanson James Ancheta zatčen a obviněn z rozsáhlého spamování pomocí botnetů

Historie počítačové kriminality 2006 – Nejrozsáhlejší hack webových stránek v historii – iSKORPiTX pronikl do 21549 stránek 2007 – Estonsko utrpělo masivní DoS útok 2008 – Čínští hackeři prohlašují, že získali přistup ke kritickým serverům v USA, např. k Pentagonu 2009 – Conficker infiltruje milióny PC 2010 – Google prohlašuje, že se stal obětí útoku hackerů z Číny

ACTIVITY TIME

Považujete svůj počítač za dostatečně zabezpečený? 88% uživatelů PC v ČR odpovědělo ano 18% určitě ano ZDROJ: WIP 2008, N=1245

počítačovým virem Setkali jste se s…? 63% uživatelů PC v ČR ZDROJ: WIP 2008, N=1245

spamem Setkali jste se s…? 77% uživatelů PC v ČR ZDROJ: WIP 2008, N=1245

phishingem Setkali jste se s…? 35% uživatelů PC v ČR ZDROJ: WIP 2008, N=1245

hackingem Setkali jste se s…? 19% uživatelů PC v ČR ZDROJ: WIP 2008, N=1245

Setkali jste se s…? falešnou identitou na sociálních sítích

Péče o počítač Zhruba u čtvrtiny vlastníků počítače se o něj většinou stará někdo mimo rodinu, s věkem se mění odpovědnost za počítač pouze v rámci rodiny

Obavy z různých operací na Internetu

KRÁDEŽE IDENTITY Phishing, identity scam, podvodné e-maily, … Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

Identity scam – JÁDRO PROBLÉMU Služba „Vítejte v bance AB, kdo jste prosím?“ „Vaše heslo prosím“ „Děkuji. Co si přejete?“ „V pořádku, na to máte právo.“ Uživatel „Jsem Filip Kábrt“ „Heslo je xxxxx“ „Rád bych převedl $100 000 na tento účet“ AUTENTIKACE AUTORIZACE V USA je Social ID primární identifikační údaj Problém 1: Co když služba není banka AB? Problém 2: Co když uživatel není Filip Kábrt

Identity scam - JAK? Impersonace pomocí získaných osobních informací Loginy ke službám operujícím s finančními prostředky Osobní ID (řidičský průkaz, …) Loginy ke komunikačním službám Prostředek pro šíření malware Hesla obecně Pro testování shody hesel na jiných službách E-mailové adresy (pro rozesílání spamu) Reálná adresa V USA je Social ID primární identifikační údaj

Identity scam – JAK? Mnoho služeb pro úspěšnou registraci vyžaduje osobní data Víme, kdo je protistrana? Jak s našimi daty naloží? Příklady úspěšných nosičů scammingu E-mail Aplikace v sociálních sítích Internetové služby s nejasným provozovatelem Nigerijský dopis: „Scénář byl vždy stejný. Šlo o nejrůznější druhy podvodů zahrnujících převody peněz, charitativní dary, falešné vládní smlouvy, dohody o koupi levné ropy, směnky z černého trhu a falešné podnikatelské tendry. Do osobní schránky elektronické pošty přijde zpráva, ve které většinou anglicky hovořící odesílatel velice slušně požádá příjemce o pomoc. Potřebuje své peníze (ať už utržené z prodeje či z milionového dědictví) nechat projít přes účet v zahraničí, aby ušetřil na daních (či čemkoli jiném). Příjemce požádá, aby mu poskytl svůj účet, že mu tam pak nechá slušné procento ze zisku. Když člověk udělá první velkou chybu a na dotaz odpoví, pisatel si s ním vymění ještě několik většinou jen administrativních mailů. V závěru požádá o zálohu na „nepředvídané výdaje“ a po obdržení částky se už neozve.“, „Asi nejznámějším napáleným je mělnický lékař Jiří Pasovský. Toho ztráta životních úspor (15 miliónů) a zadlužení dokonce loni v únoru dohnaly k vraždě nigerijského konzula Michaela Lekaru Wayidu v pražských Střešovicích. “, zdroje: http://aktualne.centrum.cz/zpravy/krimi/clanek.phtml?id=560018, http://technet.idnes.cz/sw_internet.asp?r=sw_internet&c=A040205_5251433_sw_internet Sociální sítě: falešné identity uvnitř sítě, ale nově i cross-site (z public údajů jedné sítě vytvoření ID na druhé)

Phishing Podvržení přihlašovacích formulářů třetí stranou Ochrana před phishingem Kontrola URL a certifikátu Druhy certifikátů Ruční zadávání URL (neklikat na linky v e-mailech) Antivir a zabezpečený prohlížeč

PRIVÁTNOST INTERNETU Jak uchovat informaci na Internetu soukromou? Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

Privátnost Internetu Kudy může uniknout citlivá informace? Přímo z počítače, po cestě, podvrženou službou Služby mohou mít bezpečnostní slabiny Úniky databází kvůli slabině systému Úniky databází selháním zaměstnance K mým datům mohou mít administrátoři DB neomezený přístup Informace je zaindexována robotem Vyhledávače, roboti pro spamming a sniffing Vinou příjemce informace Změna politiky nakládání s privátními daty Hacker stáhl tisíce intimních fotek ze seznamky Líbímseti.cz http://www.zive.cz/bleskovky/sc-4-a-144169/default.aspx RockYou hack – 32 miliónů hesel http://www.scmagazineus.com/rockyou-hack-compromises-32-million-passwords/article/159676/ But before RockYou could fix the bug, at least one hacker, using the alias “igigi,” claims to have broken into the database and obtained the RockYou credentials of all users – totaling more than 32.6 million. „So once I get the credentials from RockYou database, I can immediately compromise the webmail account and that has far broader consequences for the victim,” he said. PCI compliance - http://www.pcicomplianceguide.org/ Příklad na dalším slajdu

Privátnost Internetu Politika Facebooku v roce 2005: No personal information that you submit to Facebook will be available to any user of the Web Site who does not belong to at least one of the groups specified by you in your privacy settings. Politika Facebooku v roce 2010: When you connect with an application or website it will have access to General Information about you. The term General Information includes your and your friends’ names, profile pictures, gender, user IDs, connections, and any content shared using the Everyone privacy setting. ... The default privacy setting for certain types of information you post on Facebook is set to “everyone.” ... Because it takes two to connect, your privacy settings only control who can see the connection on your profile page. If you are uncomfortable with the connection being publicly available, you should consider removing (or not making) the connection. Zdroj: Electronic Frontier Foundation, 2010 Postupné změny politiky facebooku: http://www.eff.org/deeplinks/2010/04/facebook-timeline

Odstranitelnost a odvoditelnost Jakákoli uniklá informace do veřejného Internetu je obecně těžko odstranitelná Historie vyhledávačů Archivační služby Uložená v cache či jinak stažená Odvoditelnost informace Jaké všechny informace lze odvodit z dostupných informací? Veřejné informace na sociálních sítích Agregační služby: pipl.com a dále Detektivní služby

Mýty kolem webových služeb Většinu hrozeb odhadnou základní návyky Pozor na zdánlivou podobnost Internetu s offline světem – mýty: Vím, kdo se mnou komunikuje Sdělená informace má dočasnou trvanlivost Jsem příliš malý na to, aby někoho zajímaly mé osobní informace Je snadné zajistit, aby choulostivé informace neunikly Cokoli dám na Internet je _snadno kopírovatelná informace_ a tudíž snadno šířitelná

HESLA Základní principy z hlediska bezpečnosti Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

Ochrana heslem Kde hrozí riziko kompromitace hesla? Je někde napsáno (na papíře, v souboru…) Na jiném počítači jste se přihlásili k webové službě a neodhlásili Na počítači máte nainstalován monitorovací software (keylogger) Heslo je slabé (krátké, slovníkové, uhodnutelné) Psaní hesla se dá odpozorovat Heslo používáte v nějaké webové službě, jejíž databáze je kompromitována Doplnit statistiky WIP

Ochrana heslem – základní tipy Jaká pravidla používat pro hesla? Nikam je nepsat v přesné podobě Alespoň 8 písmen, střídat znaky, čísla, písmena Hierarchizace hesel Jiná hesla pro kritické služby, jiná pro nedůležité Pozor na slabý článek řetězu (‚zaslat zapomenuté heslo‘) Alternativní přístup: systém tvorby hesel, keyring Vyhnout se slovům ze slovníku

ACTIVITY TIME

Ochrana heslem Studie na základě hacku RockYou.com Jaká hesla lidé nejčastěji používají? 1. 123456 2. 12345 3. 123456789 4. Password 5. iloveyou 6. princess 7. rockyou 8. 1234567 9. 12345678 10. abc123 Zdroj: PC World, http://www.pcworld.com/businesscenter/article/187354/study_hacking_passwords_easy_as_123456.html

Složitost a různost používaných hesel 43% uživatelů hesel používá v heslech pouze jeden typ znaků; u neuživatelů Internetu je to dokonce 72%. Významně vyšší složitost hesel lze nalézt pouze u Interneťáků. Tři z deseti respondentů používá všude stejné heslo, zhruba stejné množství používá všude heslo jiné.

Vícefaktorová autentizace Na základě čeho se může uživatel prokázat? něčeho co zná (heslo, kódová otázka) něčeho co má (mobil, magnetická karta, kalkulačka) něčeho co je (CAPTCHA, biometrika) Vícefaktorová autentikace exponenciálně zvyšuje bezpečnost

MALWARE Škodlivý kód v počítači Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

Malware – definice „Souhrnný pojem pro jakýkoli software, který při svém spuštění zahájí činnost ke škodě systému, ve kterém se nachází“ In Základní definice vztahující se k tématu kybernetické bezpečnosti, MV ČR Hlavní typy malware Počítačové viry Trojské koně Spyware Adware

Malware – aktivace Kudy se malware dostane do systému? Spuštěním uživatelem Přímým spuštěním Automatickým spuštěním z externího média Spuštěním přílohy e-mailu Spuštěním aktivního prvku (Java nebo ActiveX appletu) z webu USB bomby, „zapomenuté“ USB na školách, apod.

Malware – aktivace Kudy se malware dostane do systému? „Zavirovaný“ dokument Aplikace zareaguje na speciálně napsaný dokument tak, že spustí škodlivý kód (typicky makro využívající slabin aplikace) Časté terče: Adobe Reader, Microsoft Office

Malware – aktivace Kudy se malware dostane do systému? Neošetřená reakce na komunikaci přes Internet Mnoho aplikací reaguje na příchozí komunikaci z Internetu (naslouchají na konkrétních portech na příchozí pakety) Co když přijde zpráva, kterou aplikace neočekává a neumí na ní reagovat? Může zprávu ignorovat (OK) Může se ukončit s chybovým stavem (OK) Může nedopatřením spustit podvržený kód (PROBLÉM)

Malware – aktivace Kudy se malware dostane do systému? Speciální případ: Slabiny webových prohlížečů Webový prohlížeč může chybovat při pokusu o vykreslení stránky, stejná situace jako u neošetřené komunikace Rizikové stránky Warez, pornografické servery Linky zkrácené přes optimalizátor URL

Malware – funkce Jaká je typická činnost spuštěného malware? Zajištění vlastního přežití a nedetekovatelnosti Příklady: Deaktivace antivirů, Maskování se před detekcí Zajištění dalšího šíření Příklady: Rozesílání e-mailu na adresy z adresáře, infikace externích médií, infikace po síti, šíření přes webové stránky (pomocí kompromitovaných FTP účtů), přes messengery, …

Malware – funkce Jaká je typická činnost spuštěného malware? Vzdálené řízení systému Převzetí kontroly nad systémem vzdáleným útočníkem Spouštění plánovaných operací (rozesílání spamu, DDoS útoky, …) Botnet Sniffing Lokalizace či monitoring přihlašovacích a jiných kritických údajů (čísla kreditních karet, …), dat, dokumentů

Malware – funkce Jaká je typická činnost spuštěného malware? Zobrazování nevyžádané reklamy Objednávka nevyžádaných služeb nebo software Tzv. adware (dle jedné z definic)

Ochrana před malware Aktualizace systému a aplikací Záplatuje slabiny Antivir a anti-spyware Periodická kontrola existence malware Rezidentní kontrola spouštěného a přenášeného kódu Chovat se adekvátně důvěryhodnosti protistrany Bance povolím spouštění skriptů, warez stránce nikoli Deaktivace automatického spouštění kódu z externích médií Firewall Analyzuje a příchozí a odchozí komunikaci Příklad: Conficker

PŘIPOJENÍ DO INTERNETU Šifrované přenosy Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

Zabezpečení připojení Slabá místa na cestě ke koncovému uzlu Mezilehlé uzly Mohou být zavirované nebo jinak zkompromitované Přenosová média Možnost odposlechu Hrozby Odposlech komunikace a sniffing hesel Veřejná wi-fi Ochrana Šifrované spojení (HTTPS) Šifrovaný přenos (SSL) vs certifikát

FYZICKÝ PRŮNIK DO POČÍTAČE Když má nepovolaná osoba přímo přístupný počítač Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

Možnosti průniku Jak se nepovolaná osoba může dostat do počítače? Přihlásí se pomocí znalosti hesla Nebo pokud počítač chráněn heslem není Dostane se k počítači v době, kdy je tam někdo přihlášený Dostane se k souborům v počítači přes síť Odnese z počítače disk

SHRNUTÍ Dle slabých míst v systému Motivace kyber-útočníků Trocha historie Krádeže identity a phishing Privátnost dat na Internetu Hesla a jejich bezpečnost Malware Zabezpečení přenosu Fyzický průnik do počítače Shrnutí

Mapa bezpečnostních rizik Slabá místa systému Internet PC / systém Běžící program (např. prohlížeč) 3 Server (např. WWW stránky) Připojení 5 4 Uživatel Malware Cizí osoba Mapa bezpečnostních rizik 2 1